Bel: 053 - 879 53 45 Mail: info@marotura.com

Algemene Verordening Gegevensbescherming (AVG): dit is wat er in 2018 gaat (en moet) veranderen!

De ontwikkelingen op het gebied van Internet, Social Media en technologie volgen elkaar in rap tempo op. De afgelopen decennia zijn organisaties sterk afhankelijk geworden van goed functionerende IT systemen, waarin zoveel mogelijk gegevens van klanten worden vastgelegd. Organisaties weten steeds meer van prospects en klanten en willen ook steeds meer informatie (de welbekende ‘big data’) vastleggen. Alles om (potentiële) klanten op het juiste moment via het juiste kanaal van de juiste informatie te voorzien.

Deze ontwikkeling, en het feit dat er de afgelopen jaren meerdere datalekken zijn ontstaan, waardoor persoonsgegeven op straat zijn gekomen, heeft eraan bijgedragen dat de discussie over privacy enorm is toegenomen, niet alleen in Nederland, maar in heel Europa. Burgers willen bijvoorbeeld het recht hebben om “vergeten” te worden. Dat betekent dat de zorgvuldig verzamelde data uit alle interne systemen gewist moet worden.

De General Data Protection Regulation (GDPR of in het Nederlands: Algemene Verordening Gegevensbescherming) wordt een Europa-brede wet die de Nederlandse Wet Bescherming Persoonsgegevens (WBP) medio 2018 gaat vervangen. Het gevolg hiervan is dat ‘iedere organisatie die met een bepaald belang identificeerbare persoonlijke gegevens verwerkt’ hieraan moet voldoen. Voldoe je niet aan deze wet, dan kunnen er boetes opgelegd worden tot maximaal 20 miljoen euro of 4% van de jaaromzet per overtreding.

Wat houdt deze privacywet precies in?

De wet is heel breed, er is al van alles over gezegd en geschreven. Een uitgebreide weergave van deze wet vind je onder andere op de website van de Autoriteit Persoonsgegevens.

In deze blog zoomen we in op een aantal belangrijke punten uit deze wet die van toepassing zijn op online diensten en IT-systemen. Overal waar persoonlijke gegevens ingevuld kunnen of moeten worden, of waar achterhaald kan worden wie een bepaald persoon is, moet een organisatie toestemming hebben om deze gegevens te bewaren. Ook moet een organisatie aan kunnen tonen dat die persoon daadwerkelijk toestemming heeft gegeven om zijn/haar gegevens met de betreffende organisatie te delen. Daarnaast hebben burgers ook het recht om hun persoonlijke gegevens op te vragen bij een organisatie, om deze vervolgens te laten verwijderen of aan te passen.

Enkele concrete voorbeelden:

  • Wanneer je op je website een contactformulier hebt staan, of mensen wil laten inschrijven voor een nieuwsbrief, mag je niet meer gegevens vragen dan je daadwerkelijk nodig hebt;
  • De webpagina’s waar een formulier staat, moet altijd een HTTPS beveiligde verbinding hebben. Ook wordt er verwacht dat de opslag en verwerking van de persoonlijke gegevens voldoende beveiligd en versleuteld zijn;
  • Bedrijven krijgen een documentatieplicht. Dit houdt in dat je na de invoering van de wet moet kunnen aantonen dat je de processen en informatiestromen hebt gedocumenteerd;
  • Wanneer een bedrijf persoonsgegevens uitwisselt met een derde partij, zoals een online marketingbureau of hostingpartij, moet het bedrijf een bewerkersovereenkomst opstellen met die partij;
  • Het register dat bijgehouden moet worden bevat een korte beschrijving van de soorten gegevens die worden verwerkt, wie verantwoordelijk is voor de verwerking, wat ermee wordt gedaan en waarvoor ze zijn verzameld.

GDPR is veel meer dan alleen je online processen

De GDPR wetgeving omvat veel meer dan alleen je online processen. Het gaat om alle processen binnen een organisatie waar data aan te pas komt. Voor online marketing kun je denken aan de website, social media kanalen en e-mailmarketing. Bij de sales afdeling heb je te maken met een CRM of ERP systeem. Daar worden ook gegevens vastgelegd van een klant en ook daarvoor geldt deze nieuwe wetgeving. Het gaat dus om alle IT processen en systemen waarmee je data vastlegt en bewerkt.

Hoe word je GDPR-proof als organisatie?

De belangrijkste eerste stap die een organisatie moet gaan zetten is werken aan de zogenaamde “bewustwording”. Deze nieuwe wet gaat simpelweg voor iedereen gelden. Als organisatie moet je dit serieus op- en aanpakken. Hoe klein een organisatie ook is, elke organisatie vraagt wel eens om een e-mail adres op een website. Een proces dat je vast moet gaan vastleggen.

Zoals al eerder aangegeven in deze blog raakt GDPR verschillende onderdelen binnen een organisatie, denk daarbij aan:

  • Juridische aspecten
  • Processen en systemen
  • Data en data protocollen
  • Organisatie en verantwoordelijkheden
  • Documentatie

Het is dus belangrijk om dit als organisatie integraal aan te pakken.

Meer weten over GDPR? Wij helpen u graag!

GDPR gaat over processen, systemen, de organisatie, verantwoordelijkheid, veiligheid etc. Marotura ondersteunt haar klanten dagelijks bij het verder optimaliseren van haar processen, zowel online (website) als de back office. Steeds meer organisaties schakelen Marotura in bij het digitaliseren van complete bedrijfsprocessen. Denk daarbij aan een nieuw CRM pakket, de doorontwikkeling van een ERP pakket of zelfs de digitalisering van de complete logistiek.

Een belangrijk doel van de GDPR wetgeving is het vastleggen van de processen en systemen en daardoor te voldoen aan de GDPR regelgeving. Concreet betekent dit dat je de processen uitwerkt in een flowchart en vastlegt welke informatie en data je vraagt en waarom. Dit doe je voor elk proces en elk systeem waar met klantdata wordt gewerkt.

Met behulp van een procesgerichte en gegevensgerichte analyse stelt Marotura vast welke gegevens binnen de organisatie verzameld en vastgelegd worden en wat daarmee gebeurt. Daarnaast worden ook externe databronnen en -koppelingen onderzocht, zoals de koppelingen naar andere systemen (b.v. Google Analytics, MailChimp, website naar CRM) en de meldplicht bij datalekken.

Alle processen, systemen, data van klanten, etc wordt vastgelegd. De documentatie wordt jaarlijks geüpdate, zodat te allen tijde aan deze eisen van GDPR voldaan blijft worden.

Kortom: Marotura ontzorgt haar klanten bij een deel van deze hele nieuwe GDPR wetgeving. Wilt u ook ontzorgt worden op het gebied van GDPR? Neem gerust contact op en we komen vrijblijvend onze aanpak aan u presenteren.

Neem contact op
Author image